本文档解答了有关 RCS Business Messaging (RBM) 数据安全和相关主题的常见问题。
RBM 是一个消息传递平台,品牌可使用该平台发送动态密码 (OTP) 并与客户就交易、客户服务、促销活动等进行对话。RBM 通过 Google API 提供,并通过 Google 服务器提供给最终用户。
通常,品牌会与连接到 Google API 的合作伙伴(例如运营商、短信集合商家、CRM 平台和聊天机器人构建者)合作,代表品牌构建和维护 RBM 代理。希望通过 API 或 Business Communications 开发者控制台使用 RBM 的合作伙伴必须同意 Google 的服务条款和使用限制政策。由于 Google 是数据处理方,因此合作伙伴还受 Google 数据处理附录的约束。
Google 不签订有关 RBM 的定制协议或补充协议。
认证与合规性
RBM 是否获得了第三方的认证?
RBM 和 Google 的 RCS 基础架构每年都会接受独立审核,以确保符合公认的质量和数据安全标准。我们的服务已获得 ISO 27001、SOC 2 和 SOC 3 认证。如需证书的副本,请与您的客户经理联系。
RBM 是否符合欧盟支付服务指令 2 (PSD2)?
是的,RBM 符合 PSD2,PSD2 要求增强型客户身份验证 (SCA)。由于 RBM 与最终用户的经过验证的电话号码和 SIM 卡相关联,因此使用 RBM 发送的动态密码 (OTP) 构成了合规的 SCA“持有元素”,如欧洲银行管理局所述。
数据处理
作为数据处理方,Google 意味着什么?
就 RBM 而言,Google 是数据处理方,品牌或合作伙伴是数据控制方。数据处理附录 (DPA) 规定,Google 是数据处理方,代表品牌和合作伙伴处理数据的条款由该条款约束。
该 DPA 是否适用于与 RBM 代理互动的所有最终用户?
是的,DPA 适用于所有最终用户及其数据。Google 打造 RBM 平台是为了遵守 DPA,并确保所有最终用户都能获得同等的高级别数据安全保护。
消息存储和加密
最终用户设备上存储了哪些数据?
有关 RBM 代理的元数据以及与其交换的消息的元数据存储在最终用户的设备上。这些消息可能包含与 RBM 代理分享的个人信息。
代理的“区域”与消息存储有何关系?
合作伙伴在设置代理期间指定的区域会告知 RBM 代理所在的位置。Google 使用此信息来确定应在何处存储消息数据,并优化消息流量到代理的路由。
大多数情况下,消息存储在指定区域内的数据中心内(如需详细了解数据中心和网络安全,请参阅 DPA)。但是,如果发生地区性服务中断,Google 可能会重新路由消息流量。这意味着消息数据不得专门存储在代理的指定区域中。
RBM 的消息传输架构和流程是怎样的?哪些元素已加密?
在品牌和最终用户之间发送的消息会在最终用户的设备和 Google 服务器之间以及 Google 服务器与即时通讯合作伙伴之间通过 Google 的 RCS Business Messaging (RBM) API 进行加密。
在整个 Google 网络中对消息进行加密,使用只有特定服务组件可以访问的密钥。利用加密密钥,Google 系统可以进行检查以确保政策合规性。
如需简要了解端到端消息传递流程以及所涉及的各方的角色,请参阅工作原理。
存储的消息会加密吗?
Google 服务器上的存储空间
存储在 Google 服务器上的邮件会经过静态加密处理。Google 会存储加密的消息,以便这些消息可以在最终用户的设备之间同步,并确保之前的消息会显示在新设备上。
用户只能通过最终用户的 Google ID 访问已存储的消息。请注意以下两个例外情况:
- 当最终用户举报消息为垃圾内容后,Google 可能会审核垃圾信息。如需详细了解垃圾信息举报的数据处理方式,请参阅 Google 是否读取过品牌和最终用户之间的消息?。
- 我们可能会根据 Google 有义务履行适用法律的义务,与外部执法机构分享存储的消息。如需了解详情,请参阅 Google 的透明度报告。
移动设备上的存储空间
最终用户设备上的消息加密取决于为其设备配置的设备级加密。对于 Google 的“信息”应用,Google 会部署设备端安全模型来保护信息数据。其他客户端供应商可能会实施不同的安全政策。
消息会存储多长时间?
Google 服务器上的存储空间
- RBM 代理资产(徽标、名称、说明等):永久存储在全局 Google 存储空间中。
- User-to-agent 消息(P2A 消息):按存储转发方式保留超过 7 天。RBM 代理收到并确认消息后,系统会将其删除。
- 代理向用户的消息(A2P 消息):在传送之前保留,最长 30 天。代理可以在传送之前撤消未传送的消息。如果消息包含媒体文件(例如图片或视频),这些文件会存储 60 天。对于垃圾内容检测,经过加密的 A2P 消息可能会在传送后在 Google 服务器上保留 14 天。
移动设备上的存储空间
消息会存储在最终用户的设备上,直到最终用户删除它们或更改存储机制。
品牌可以控制其存储在 Google 中的邮件的加密密钥吗?
不能,品牌无法控制加密密钥。为了保护最终用户免受垃圾邮件的侵扰,Google 需要扫描邮件中是否存在恶意内容,例如钓鱼式攻击和恶意软件网址。Google 会使用自动保护功能来扫描邮件。除非最终用户将对话举报为垃圾内容,否则用户无法查看消息内容(如需了解详情,请参阅 Google 是否读取过品牌和最终用户之间的消息?)。
合作伙伴和品牌需要承担哪些确保数据安全的责任?
RBM 是一种交通技术。它可以在最终用户和代理之间移动消息。 由于 RBM 代理是由 Google 以外的合作伙伴和品牌构建、运营和访问的,因此这些各方有责任确保其代理满足数据安全、隐私权和当地监管要求。
RBM API 安全性
Google 能否获取 OAuth 提供方发送的访问令牌?
不会,Google 绝不会获取 OAuth 提供方在用户身份验证期间发送的访问令牌。OAuth 2.0 使用代码交换证明密钥 (PKCE) 来保护身份验证流程。
RBM 开发者与 Google 之间的数据是如何加密的?
开发者通过 HTTPS(安全 Web 事务的全球标准)访问 RBM API。RBM API 支持采用 AES 256 和 SHA384 加密的 TLS 1.3。
运行以下命令来检查证书链、TLS 版本和支持的加密:
openssl s_client -connect rcsbusinessmessaging.googleapis.com:443
电话号码验证
为了维护 Google“信息”应用的安全性,Google 如何验证某个电话号码是否仍属于其原始用户?
对电话号码的初步验证:Google 使用各种技术识别最终用户的电话号码(即用户的 MSISDN 或移动站国际订阅者目录号码)。这些技术包括与运营商直接进行 API 集成、移动系统发送的短信,以及要求最终用户输入其电话号码。识别出电话号码后,Google 可能会发送一条不可见的动态密码 (OTP) 短信来验证该电话号码。
在初始验证后保持安全性:如果运营商提供直接 API 集成,则可以定期向 Google 发送 SIM/MSISDN 停用 Feed,以停用 RCS,从而为不再有效的电话号码停用 RBM。Google 可能还会通过 SIM 卡移除和 SIM 卡活动等设备信号以及定期重新验证电话号码来监控电话号码所有权的变化。
隐私权和安全性
Google 会对 RBM 代理进行哪些报告?
Google 会根据过去 14 天的数据,提供每个代理的最终用户总数、消息总数和回复总数的内部报告。Google 会将此数据用于诊断、改进系统以及为运营商生成结算报告。系统不会出于报告目的而存储消息内容。14 天后,Google 仅存储汇总报告数据;此类存储没有时间限制。对外共享的任何汇总数据的存留时间 (TTL) 均为 63 天。
运营商收到的结算报告和活动日志会在 Google 的服务器上存储 30 天。运营商合作伙伴可以选择下载这些文件,只要有必要,就可以保留这些文件。
Google 会在 RBM 之外使用最终用户数据吗?
如 DPA 第 5.2 节所述,Google 仅会出于提供和改进 RBM 服务的目的使用最终用户数据。
例如,Google 可能会对最终用户数据执行以下操作:
- 检测并防范垃圾内容和欺诈行为。
- 与运营商合作伙伴共享未汇总的结算报告和活动日志。
- 衡量并改进最终用户和品牌的 RBM 效果。
在此过程中,Google 会与合作伙伴分享汇总数据,以便他们改善消息功能体验。如需了解详情,请参阅 Google 会对 RBM 代理进行哪些报告?。
但 Google 不会对最终用户数据执行以下操作:
- 根据邮件内容进行广告定位。
- 与任何竞争对手或第三方分享消息内容,但适用法律要求的执法机构除外。
Google 会读取品牌和最终用户之间的消息吗?
除非最终用户将对话举报为垃圾内容,否则 Google 无权访问任何消息的内容。当最终用户选择举报垃圾内容时,系统会通知他们 Google 员工和承包商可能会审核自己的垃圾内容信息,以协助 Google 更好地防范垃圾内容和滥用行为。人工审核者已限制和审核 30 天内对此信息的访问权限。为了审核垃圾信息,系统会隐去最终用户的电话号码。
如需详细了解 Google 为保护最终用户数据而采取的控制措施,请参阅 Google 的隐私权政策。
Google 会向品牌方提供关于最终用户的哪些信息?
为了实现 RBM 对话,Google 会与品牌方分享最终用户的电话号码,以识别对话中的最终用户。而不会与品牌分享任何其他个人信息。
在使用限制政策中,“隐私权和安全”部分是否会限制品牌方收集和使用其客户相关信息的能力?
Google 不打算限制品牌为客户提供服务的能力。 品牌可以根据自己的隐私权政策的条款,存储最终用户与品牌之间通过 RBM API 创建的对话。
在服务条款中,以下含义是什么?“您将获得并保留所有必要的许可,以便根据本 RBM 条款允许处理个人数据。”
Google 希望所有使用 RBM 的品牌都遵守相关数据和安全法规(例如 GDPR),并提供隐私权政策来阐明他们如何使用和/或共享最终用户数据。开发者必须提供其隐私权政策,代理才会被视为发布审核。
在品牌接受审核时 Google 的合作
我们的品牌需要遵守相关法规,可能需要接受审核。Google 会遵守吗?
品牌有责任确保其公司符合相关法规。Google 只会根据适用法律回复执法和监管机构的询问。
突发事件响应
Google 如何处理数据泄露?
请参阅 DPA 中第 7.2 节“数据突发事件”。
不支持的网络功能
RBM 不支持哪些网络功能?
- 允许防火墙直通的自定义标头
- Google 服务中的无类别域间路由 (CIDR) 屏蔽范围